Spanien hat 65 Mitglieder der katalanischen Unabhängigkeitsbewegung gehackt und überwacht, darunter 19 gewählte Politiker:innen. Ein anderer Staat, wahrscheinlich Marokko, hat den Ministerpräsidenten und die Verteidigungsministerin von Spanien gehackt und abgehört. Beide Staaten nutzten das selbe Hacking-Tool: den Staatstrojaner NSO Pegasus. Die spanische Regierung war gleichzeitig Opfer und Täter.
Dieses Beispiel zeigt, wie staatliches Hacken die innere Sicherheit und sogar die nationale Sicherheit gefährdet. Wer Sicherheitslücken geheimhält und ausnutzt, kann damit selbst gehackt werden. Der Staat muss dafür sorgen, dass alle Sicherheitslücken geschlossen werden. Das verlangt auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Der Staat muss gewährleisten, dass IT-Systeme nicht gehackt werden. Auf den ersten Blick sieht das die Ampel-Regierung auch so.
Im Koalitionsvertrag hat sich die Bundesregierung geeinigt: „Die Ausnutzung von Schwachstellen von IT-Systemen steht in einem hochproblematischen Spannungsverhältnis zur IT-Sicherheit und den Bürgerrechten. Der Staat wird daher keine Sicherheitslücken ankaufen oder offenhalten, sondern sich in einem Schwachstellenmanagement unter Federführung eines unabhängigeren Bundesamtes für Sicherheit in der Informationstechnik immer um die schnellstmögliche Schließung bemühen.“
„Staat wird keine Lücken ankaufen oder offenhalten“
Mit diesem klaren Bekenntnis unterscheidet sich die Ampel deutlich von den Vorgänger-Regierungen und der aktuellen Praxis. Der Bundesnachrichtendienst hackt ausländische Regierungen. Die Bundeswehr hackt ganze Mobilfunknetze. Die Polizei hackt Drogendealer. All diese Behörden verhindern, dass Sicherheitslücken geschlossen werden. Mit den klaren Worten im Koalitionsvertrag hat sich die Ampel-Regierung entschieden, diese Praxis zu beenden.
Doch die Einigkeit in der Regierung bröckelt. Das Bundesinnenministerium von Nancy Faeser arbeitet an der Einführung eines wirksamen Schwachstellenmanagements. Laut Regierungskreisen dient der „Vulnerabilities Equities Process“ der USA als Vorbild. Wenn es nach der SPD-Ministerin geht, soll das Bundesamt für Sicherheit in der IT zusammen mit Polizei und Geheimdiensten bei jeder Sicherheitslücke neu entscheiden, ob die Behörden die Schwachstelle offenlassen und ausnutzen oder melden und schließen.
Das Innenministerium bezeichnet das als „Cybersicherheit und Gefahrenabwehr in Einklang bringen“ oder „die Interessen der Cyber- und Informationssicherheit sowie der Strafverfolgungs- und Sicherheitsbehörden in einen angemessenen Ausgleich bringen“. Die Tagesschau beschreibt den Wunsch der Sicherheitsbehörden: „Voraussichtlich wird eine Abwägung getroffen werden: Ermittler sollen Lücken nutzen dürfen, wenn diese nur eine kleine Zahl von Menschen betreffen. Wie das allerdings sichergestellt werden kann, ist fraglich.“
„Immer um schnellstmögliche Schließung bemühen“
Doch nicht nur Innenministerium und Sicherheitsbehörden kämpfen für das Offenhalten von Sicherheitslücken. Auch der grüne Bundestagsabgeordnete Konstantin von Notz verteidigt diese Forderung: „Im Koalitionsvertrag steht, dass es hier eine Abwägung geben soll: Eine Lücke, die nur eine sehr kleine Zahl von Menschen betrifft, könnte womöglich zugunsten der Sicherheitsbehörden offenbleiben.“
In der Opposition hat Notz Staatstrojaner und staatliches Hacken kritisiert und abgelehnt. Vor zwei Jahren sagte er uns: „Der Handel mit Sicherheitslücken ist Gift für die IT-Sicherheit und wer mit ihnen hehlt statt sie zu schließen, ist Teil des Problems und nicht der Lösung.“ Seit der Bundestagswahl ist er stellvertretender Vorsitzender einer Regierungsfraktion und Vorsitzender des Parlamentarischen Kontrollgremiums zur Kontrolle der Geheimdienste.
Auf dem grünen Parteitag zur Bundestagswahl vor einem Jahr stellte Notz einen Antrag, „in gravierenden Fällen“ wie rechtsterroristischen Netzwerken und der Darstellung sexueller Gewalt gegen Kinder polizeiliches Hacken zu erlauben (Mirror). Die Partei hat seinen Antrag abgelehnt und stattdessen einen angenommen, der „das Infiltrieren von technischen Geräten“ ablehnt und Sicherheitslücken melden und beheben will.
„Sicherheitslücken sind Gift für die IT-Sicherheit“
Hinter vorgehaltener Hand äußern die Befürworter des staatlichen Hackens mehrere Argumente, warum der klare Absatz im Koalitionsvertrag angeblich nicht mehr gilt.
Er war gar nicht so gemeint, den hätten nicht die richtigen Expert:innen geschrieben – dabei haben die Parteien dem Vertrag zugestimmt und die Parteivorsitzenden den Vertrag unterschrieben. An einer anderen Stelle im Koalitionsvertrag stehe es anders – dabei steht auch dort: „Wir führen ein wirksames Schwachstellenmanagement ein, mit dem Ziel Sicherheitslücken zu schließen.“
Das Bundesverfassungsgericht erlaube in Ausnahmefällen eine Offenhaltung mancher Schwachstellen – dabei ist die Frage nicht, ob die Bundesregierung das rechtlich darf, sondern ob sie es politisch will. Ein Schwachstellen-Management bedeute, Sicherheitslücken offenzuhalten – dabei muss auch das Melden und Schließen gemanagt werden. Und schließlich: Der russische Überfall auf die Ukraine sei eine Zeitenwende – dabei ist das Schließen von Sicherheitslücken Teil von Sicherheitspolitik und schützt auch vor Hackern aus Russland und anderen Staaten.
„Schwachstellen ausnahmslos schließen statt ausnutzen“
Der liberale Bundestagsabgeordnete Manuel Höferlin widerspricht Konstantin von Notz: „Die Textinterpretation von schlechten und weniger schlechten Schwachstellen teile ich nicht. Denn wenn wir Deutschlands Cybersicherheit voranbringen wollen, dann müssen wir das konsequent machen. Ohne Wenn und Aber. Das konsequente, ausnahmslose und möglichst schnelle Schließen von Schwachstellen muss das Ziel eines wirksamen Schwachstellenmanagements sein.“
Damit steuert die Bundesregierung auf einen Konflikt zu. Die FDP lehnt das Offenhalten und Ausnutzen von Sicherheitslücken konsequent ab. Innerhalb von SPD und Grünen gibt es sowohl Gegner als auch Befürworter des staatlichen Hackens.
Zuständig für das Schwachstellen-Management ist die SPD-Ministerin Nancy Faeser. Ihrem Innenministerium untersteht zwar die IT-Sicherheitsbehörde BSI, aber auch die Trojaner-Behörden BKA, Bundespolizei und Verfassungsschutz sowie die Hacker-Behörde ZITiS. Doch auch die Bundeswehr unter dem Verteidigungsministerium und der BND unter dem Kanzleramt wollen weiterhacken. Alle drei Ministerien werden von der SPD geführt.
„Staat soll keine keine Schwachstellen offenhalten und nutzen“
Die SPD-Vorsitzende Saskia Esken hat den Koalitionsvertrag unterschrieben und ist eigentlich gegen staatliches Hacken. In der letzten Legislaturperiode sagte sie uns: „Ich lehne den Einsatz von Trojanern grundsätzlich ab. Der Staat soll keine Angriffswerkzeuge entwickeln und keine Schwachstellen offenhalten und nutzen, denn das steht im Widerspruch zu seiner Verantwortung für die allgemeine IT-Sicherheit.“ Zur aktuellen Debatte um Sicherheitslücken und den Koalitionsvertrag spricht sie nur im Hintergrund und will sich nicht öffentlich äußern.
Es steht zu befürchten, dass die Regierung ihre klare Vorgabe aus dem Koalitionsvertrag nicht umsetzen wird. Entweder gibt es ein Schwachstellen-Management, dass das Offenhalten und Ausnutzen von Sicherheitslücken explizit erlaubt. Oder das Vorhaben wird verschleppt und gar nicht umgesetzt, womit die Praxis des staatlichen Hackens einfach weitergeht.
Wahrscheinlich braucht es erst ein zweites Merkelfon, bis die Bundesregierung das Problem versteht. Denn wenn alle unsicher sind, dann sind es auch die Regierungschefs. So wie Olaf Scholz‘ Parteifreund und Amtskollege Pedro Sánchez in Spanien, der mit dem Statstrojaner NSO Pegasus gehackt wurde – weil seine Geheimdienste die Sicherheitslücke offengehalten haben, um sie selbst auszunutzen.
Der Staat schadet mit dieser Aktion massiv der Wirtschaft. Man darf sich bei solcherem Vorgehen nicht über Cyberattacken und Ransomwareangriffe wundern. Auch werden die verbliebenen Sicherheitsforscher keinerlei Vulnerabilities mehr stattlichen Stellen melden, sondern diese gleich offen legen. Damit hat sich die Frau Faeser (was qualifiziert sie als Innenminister außer ihrer Dummheit?) eine Bärendienst erwiesen. Ich hoffe nur der Bundeskanzler zieht die Konsequenz und entlässt sie zeitnah.
Die SPD macht, was sie innenpolitisch immer macht: links blinken und rechts abbiegen.
Die Gruenen machen, was sie innenpolitisch immer machen: mit.
Man sollte die Sicherheitslücken nicht nur nicht offenhalten und/oder nutzen, sondern man sollte auch eine gesetzliche Pflicht an die Hersteller einführen diese schnellstmöglich zu schließen. Bei Nicht-Schließung oder Weigerung der Pflicht nachzukommen ensteht dann eine Haftbarkeit (gerne auch gegen die Geschäftsführung persönlich – meistens klappt es in der Praxis erst so vernünftig!)
Erstmal müssten wir die Schuldfrage richtig herum angehen. Bei einem Hack ist derjenige schuldig, der die Schwachstelle wissentlich oder fahrlässig offen gelassen hat. Der Hacker, der sie ausgenutzt hat ist nur einer offenen Einladung gefolgt.
Zweitens sollten wir Schadensersatz für entwendete persönliche Daten verhängen und an die betroffenen Personen auszahlen. Ein zusätzliches „Kopfgeld“ pro Datensatz und proportional zum Grad der Schutzwürdigkeit, welches an den Hacker ausgezahlt wird, würde dafür sorgen, dass Leute ausreichend Anreiz haben Lücken zu finden und zu melden.
„Pro-Russische Agenten halten kritische Sicherheitslücken im Westen für den Kreml offen!“
Ich hasse die aktuelle Dämonisierung der Russen, aber wenn es das ist was es braucht um unsere IT-Sicherheit zu schützen, dann soll es mir Recht sein. Es ist schließlich nicht so, als würden die Russen die Lücken nicht auch ausnutzen. Faeser und alle ihre Mittäter in die Putin-Helfer-Ecke zu stellen könnte hier das effektivste Mittel sein. Datenschutz, Wirtschaft, Grund- und Menschenrechte sind für die Ampel nichts als Lippenbekenntnisse, sie mit dem Feind™ zu assoziieren könnte sie jedoch zum Handeln zwingen.
„Wahrscheinlich braucht es erst ein zweites Merkelfon, bis die Bundesregierung das Problem versteht. Denn wenn alle unsicher sind, dann sind es auch die Regierungschefs.“
Völlig richtig. So war es zu Zeiten von Zensursula (und noch früher), so ist es heute. So lange die Damen und Herren Regierenden nicht am eigenen Leib erfahren, wie ‚toll‘ offene Sicherheitslücken sind, wird sich nichts bewegen.
Wobei der Vorschlag von Karl, das Offenhalten von Lücken zur Putin-Unterstützung zu erklären, deutlich Charme hat. Auch da würden sich die Damen und Herren erstaunt umschauen, wie es ist, mal am anderen Ende der Dämonisierungskette zu stehen.